Dansk
Deutsch
English
Français
Italiano
Nederlands
Norsk
Suomi
SvenskaACUERDO DE TRATAMIENTO DE DATOS
ENTRE:
El cliente, tal y como se define en las condiciones generales (en lo sucesivo, el «Responsable del tratamiento»),
Y
XD Connects, tal y como se define en las condiciones generales (en lo sucesivo: el «Procesador»).
En lo sucesivo, individualmente «Parte» y conjuntamente «Partes».
ACUERDAN LO SIGUIENTE:
1. Objeto del presente Acuerdo de tratamiento de datos
1.1. El presente Acuerdo de tratamiento de datos se aplica exclusivamente al tratamiento de datos personales en el ámbito del acuerdo, tal como se define en las condiciones generales, por cuenta del responsable del tratamiento, tal como se detalla en el apartado 1.3 y en el anexo 1, parte A, del presente acuerdo de tratamiento de datos.
1.2. Los términos definidos en el Reglamento General de Protección de Datos (2016/679/UE, en lo sucesivo: el «RGPD») como «tratamiento», «datos personales», «responsable del tratamiento», «procesador» y «violación de datos personales» tendrán el mismo significado que en el RGPD. Los términos definidos en las condiciones generales tendrán el mismo significado, salvo que se indique específicamente lo contrario.
1.3. El Procesador tratará datos personales por cuenta del Responsable del tratamiento en el marco de la ejecución del Acuerdo (en lo sucesivo, los «Datos personales»). Una visión general de los detalles del Tratamiento de datos personales se proporciona en el anexo 1 parte A. Para todos los demás tratamientos de datos personales en el curso de la prestación de sus servicios que no se especifica en este Acuerdo de tratamiento de datos, XD Connects es un responsable del tratamiento en su propio derecho.
2. El Responsable del tratamiento y el Procesador
2.1. El Procesador actuará como procesador y el Responsable del tratamiento como responsable del tratamiento. El Procesador actuará de conformidad con las instrucciones documentadas del Responsable del tratamiento, tal como se establece en el Acuerdo y en el presente Acuerdo de tratamiento de datos. El Responsable del tratamiento garantiza que dispone de una base jurídica para el tratamiento en el ámbito del Acuerdo, incluido el consentimiento demostrable cuando sea necesario.
2.2. El Procesador solo tratará los Datos personales en la forma que, y en la medida en que, ello sea necesario para la prestación de los servicios previstos en el Acuerdo o para cumplir una obligación legal a la que esté sujeto el Procesador, en cuyo caso, el Procesador notificará al Responsable del tratamiento dicha obligación legal, a menos que dicha ley prohíba dicha notificación por motivos importantes de interés público.
2.3. El Responsable del tratamiento garantiza que sus instrucciones al Procesador no infringen ni causarán un incumplimiento del presente Acuerdo de tratamiento de datos o de la legislación aplicable, incluido el RGPD.
3. Confidencialidad
3.1. Sin perjuicio de los acuerdos contractuales existentes entre las partes, el Procesador se asegurará de tratar todos los Datos personales de forma estrictamente confidencial. El Procesador velará por que todas las personas autorizadas a tratar los Datos personales estén obligadas a la confidencialidad. Estas obligaciones no impedirán que el Procesador comparta información con un tercero de conformidad con el Acuerdo, el presente Acuerdo de tratamiento de datos o en la medida en que dicha divulgación sea obligatoria en virtud de la legislación aplicable.
4. Seguridad
4.1. El Procesador adoptará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los Datos personales. Estas medidas han sido acordadas por las Partes en el Anexo 2. El Procesador podrá modificarlas de vez en cuando, siempre que dichas modificaciones no supongan un menor nivel de protección.
5. Información y Auditoría
5.1. A petición del Responsable del tratamiento, el Procesador facilitará la información estrictamente necesaria para que el Responsable del tratamiento cumpla sus obligaciones en virtud del RGPD.
5.2. El Responsable del tratamiento tiene derecho a realizar una auditoría del Procesador una vez cada doce meses para determinar en qué medida cumple las disposiciones del Acuerdo de tratamiento de datos. Dicha auditoría será realizada por un tercero independiente y tendrá lugar en el momento que definan ambas Partes conjuntamente. El Procesador facilitará al auditor, a petición de éste, el acceso a las instalaciones, el personal, las políticas y los documentos que sean razonablemente necesarios a efectos de la auditoría. El Responsable del tratamiento correrá con los gastos de dicha auditoría.
5.3. El Procesador informará inmediatamente al Responsable del tratamiento en caso de que una solicitud del (auditor del) Responsable del tratamiento infrinja la ley.
6. Transferencia internacional de datos
6.1 El Procesador solo transferirá Datos personales a un país situado fuera del espacio económico europeo si respeta el capítulo V del RGPD.
6.2 El Responsable del tratamiento acepta que cuando el Procesador contrate a un Subprocesador de conformidad con la cláusula 7 para llevar a cabo actividades de tratamiento específicas (en nombre del Responsable del tratamiento) y dichas actividades de tratamiento impliquen una transferencia de Datos personales en el sentido del capítulo V del RGPD, el Procesador y el Subprocesador pueden garantizar el cumplimiento de las mismas mediante el uso de cláusulas contractuales tipo adoptadas por la Comisión Europea de conformidad con el artículo 46, apartado 2, del RGPD.
7. Subprocesadores
7.1. El Responsable del tratamiento autoriza expresamente al Procesador a contratar a los Subprocesadores enumerados en el Anexo 1, parte B.
7.2. El Responsable del tratamiento autoriza de forma general al Procesador a contratar a otros Subprocesadores. El Procesador informará previamente al Responsable del tratamiento de la contratación de un Subprocesador, en cuyo caso el Responsable del tratamiento tendrá derecho a alegar su oposición a la contratación de dicho Subprocesador en el plazo de cuatro semanas. Si el Responsable del tratamiento no ha formulado objeción alguna en el plazo de esas cuatro semanas, se presumirá que ha dado su autorización expresa a la contratación de ese Subprocesador.
7.3. El Procesador seguirá siendo el encargado frente al Responsable del tratamiento del cumplimiento, o del incumplimiento, de las obligaciones establecidas en el presente Acuerdo de tratamiento de datos por parte de los Subprocesadores, de conformidad con el artículo 10.
7.4. El Procesador se asegurará de que el Subprocesador esté vinculado por escrito por obligaciones similares a las del Procesador en virtud del presente Acuerdo de tratamiento de datos.
8. Violación de datos y Cooperación con los derechos de los interesados
8.1. En caso de violación de los datos personales, el Procesador notificará al Responsable del tratamiento sin demora injustificada tras el descubrimiento.
8.2. En caso de que el Procesador reciba una queja o una solicitud de una persona física con respecto a los Datos personales, como se describe en el capítulo 3 del RGPD, el Procesador notificará al Responsable del tratamiento en el plazo de una semana después de recibir la queja o solicitud.
9. Devolución o Destrucción de Datos personales
9.1. A menos que la legislación aplicable exija la conservación de los datos, el Procesador eliminará los Datos personales de conformidad con el periodo de conservación especificado en el anexo A. Previa solicitud por escrito del Responsable del tratamiento, el Procesador devolverá los Datos personales al Responsable del tratamiento.
10. Responsabilidad e Indemnización
10.1. El Procesador es responsable únicamente con respecto y en la medida establecida en el Acuerdo. La responsabilidad del Procesador por los daños que se produzcan o estén relacionados con el procesamiento de Datos personales se limita además únicamente a los daños directos causados exclusivamente por el incumplimiento del Acuerdo de tratamiento de datos por parte del Procesador y excluye cualquier daño indirecto. Los daños indirectos incluyen en cualquier caso: pérdida de datos, reclamaciones de terceros, incluidos clientes, multas de las autoridades supervisoras y pérdida de facturación o beneficios.
10.2. El importe máximo por el que el Procesador puede ser considerado responsable por evento, donde una serie de eventos relacionados cuenta como un solo evento, es igual a las tarifas totales pagadas por el Responsable del tratamiento al Procesador en los doce meses anteriores a ese evento.
11. Duración y Cese
11.1. El presente Acuerdo de tratamiento de datos entrará en vigor y expirará simultáneamente con el Acuerdo.
11.2. La terminación o expiración del presente Acuerdo de tratamiento de datos no eximirá al Procesador de sus obligaciones destinadas a sobrevivir a la terminación o expiración del Acuerdo de tratamiento de datos, incluidas las obligaciones derivadas del artículo 3, 4, 8, 9 y 10 del presente Acuerdo de tratamiento de datos.
12. Miscelánea
12.1. En caso de incoherencia entre las disposiciones del presente Acuerdo de tratamiento de datos y las disposiciones del Acuerdo, prevalecerán las disposiciones del presente Acuerdo de tratamiento de datos.
12.2. Todas las notificaciones realizadas en virtud del presente Acuerdo de tratamiento de datos por el Procesador al Responsable del tratamiento, por ejemplo, las notificaciones en virtud de los artículos 7 y 8, se enviarán por correo electrónico a la información de contacto del Responsable del tratamiento disponible en XD Connects. Es responsabilidad del Responsable del tratamiento garantizar que los datos de contacto sean correctos y estén actualizados en todo momento.
12.3. El presente Acuerdo de tratamiento de datos se rige por la legislación de los Países Bajos. Cualquier litigio derivado o relacionado con el presente Acuerdo de tratamiento de datos se someterá exclusivamente al tribunal competente de La Haya.
Anexo 1:
A) Detalles del tratamiento de Datos personales
Categorías de interesados cuyos datos personales se tratan
• Destinatarios cuando esta empresa no tenga personalidad jurídica; y
• Destinatarios que reciben productos de envío directo.
Categorías de datos personales tratados
• Nombre (de la empresa)
• Dirección de correo electrónico (profesional)
• Número de teléfono (empresa)
• Dirección (profesional)
Datos sensibles tratados (si procede)
N/A
Naturaleza del tratamiento
El Procesador es un proveedor de artículos promocionales y regalos. El Responsable del tratamiento (cliente) puede realizar pedidos de estos artículos a través del portal digital del Procesador. Cuando se realiza un pedido, el tratamiento de los datos (personales) de los destinatarios es necesario para completar y enviar el pedido. Si el destinatario al que el Responsable del tratamiento envía un pedido es una empresa sin personalidad jurídica o una persona física como destinatario de servicios de envío directo, se procesan datos personales de los que el Procesador (XD Connects) es el responsable.
Finalidad o finalidades para las que se tratan los datos personales por cuenta del Responsable del tratamiento
• Para enviar pedidos a los destinatarios
Duración del tratamiento
El tratamiento dura desde el momento en que se realiza el pedido hasta el final del periodo de conservación. La conservación de los Datos personales es la siguiente:
• Información del destinatario en los detalles del pedido: 2 años
• Información del destinatario en el resumen de envíos directos: 2 años
B) Subprocesadores
Subprocesadores contratados por el Procesador:
• B2C Europa (Maersk) para la entrega de pedidos de envío directo
• Elanders Sverige AB para instalaciones de almacenamiento
• Early Bird Sverige para la entrega de pedidos
Anexo 2:
Medidas de seguridad
El Procesador adoptará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los Datos personales, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Las medidas de seguridad aplicadas por el Procesador incluyen:
• Seguridad de acceso
Por ejemplo: el acceso a los Datos personales solo se concede a las personas que necesitan conocerlos para desempeñar su función y los derechos de acceso se evalúan periódicamente, se exige una contraseña segura y el uso de una herramienta de contraseñas, se utiliza la AMF y se establecen requisitos para los puntos finales.
• Integridad de los datos
Por ejemplo: se realizan copias de seguridad de los datos con regularidad siguiendo el principio 1-2-3-, se valida la introducción de datos. Los Datos personales se destruyen al final del periodo de conservación.
• Seguridad de la organización
Por ejemplo: la clasificación de la información, la información al personal con acceso a los Datos personales y las consecuencias disciplinarias, la comprobación del uso de las políticas de red y la limpieza de las que no se utilicen.
• Seguridad física
Por ejemplo: acceso restringido al lugar de almacenamiento físico, vigilancia de las zonas donde se almacenan los Datos personales, prevención, detección y procedimiento operativo en caso de emergencias (como incendio, intrusión y agua) y sistemas innecesarios.
• Seguridad de la red y de los datos
Por ejemplo: amplia segmentación de la red basada en ZTN, uso de cortafuegos y EDR, empleo y actualización constante de software antivirus, uso de canales de comunicación seguros y empleo de un sistema de detección y prevención de intrusiones.
• Gestión de incidentes de seguridad
Por ejemplo: formación en respuesta a incidentes y elaboración de un plan de incidentes de seguridad y un plan de continuidad de la actividad.
• Procedimientos de prueba y evaluación
Por ejemplo: procedimientos para evaluar y mejorar periódicamente la eficacia de las medidas de seguridad, como un ciclo de auditoría externa independiente y la certificación de las normas de seguridad pertinentes.
• Eliminación de datos
Por ejemplo: los Datos personales se eliminan de forma irrecuperable cuando dejan de ser necesarios y el hardware de almacenamiento desechado se limpia de acuerdo con las prácticas del sector.
[última actualización: agosto 2024]
ACUERDO DE TRATAMIENTO DE DATOS
ENTRE:
El cliente, tal y como se define en las condiciones generales (en lo sucesivo, el «Responsable del tratamiento»),
Y
XD Connects, tal y como se define en las condiciones generales (en lo sucesivo: el «Procesador»).
En lo sucesivo, individualmente «Parte» y conjuntamente «Partes».
ACUERDAN LO SIGUIENTE:
1. Objeto del presente Acuerdo de tratamiento de datos
1.1. El presente Acuerdo de tratamiento de datos se aplica exclusivamente al tratamiento de datos personales en el ámbito del acuerdo, tal como se define en las condiciones generales, por cuenta del responsable del tratamiento, tal como se detalla en el apartado 1.3 y en el anexo 1, parte A, del presente acuerdo de tratamiento de datos.
1.2. Los términos definidos en el Reglamento General de Protección de Datos (2016/679/UE, en lo sucesivo: el «RGPD») como «tratamiento», «datos personales», «responsable del tratamiento», «procesador» y «violación de datos personales» tendrán el mismo significado que en el RGPD. Los términos definidos en las condiciones generales tendrán el mismo significado, salvo que se indique específicamente lo contrario.
1.3. El Procesador tratará datos personales por cuenta del Responsable del tratamiento en el marco de la ejecución del Acuerdo (en lo sucesivo, los «Datos personales»). Una visión general de los detalles del Tratamiento de datos personales se proporciona en el anexo 1 parte A. Para todos los demás tratamientos de datos personales en el curso de la prestación de sus servicios que no se especifica en este Acuerdo de tratamiento de datos, XD Connects es un responsable del tratamiento en su propio derecho.
2. El Responsable del tratamiento y el Procesador
2.1. El Procesador actuará como procesador y el Responsable del tratamiento como responsable del tratamiento. El Procesador actuará de conformidad con las instrucciones documentadas del Responsable del tratamiento, tal como se establece en el Acuerdo y en el presente Acuerdo de tratamiento de datos. El Responsable del tratamiento garantiza que dispone de una base jurídica para el tratamiento en el ámbito del Acuerdo, incluido el consentimiento demostrable cuando sea necesario.
2.2. El Procesador solo tratará los Datos personales en la forma que, y en la medida en que, ello sea necesario para la prestación de los servicios previstos en el Acuerdo o para cumplir una obligación legal a la que esté sujeto el Procesador, en cuyo caso, el Procesador notificará al Responsable del tratamiento dicha obligación legal, a menos que dicha ley prohíba dicha notificación por motivos importantes de interés público.
2.3. El Responsable del tratamiento garantiza que sus instrucciones al Procesador no infringen ni causarán un incumplimiento del presente Acuerdo de tratamiento de datos o de la legislación aplicable, incluido el RGPD.
3. Confidencialidad
3.1. Sin perjuicio de los acuerdos contractuales existentes entre las partes, el Procesador se asegurará de tratar todos los Datos personales de forma estrictamente confidencial. El Procesador velará por que todas las personas autorizadas a tratar los Datos personales estén obligadas a la confidencialidad. Estas obligaciones no impedirán que el Procesador comparta información con un tercero de conformidad con el Acuerdo, el presente Acuerdo de tratamiento de datos o en la medida en que dicha divulgación sea obligatoria en virtud de la legislación aplicable.
4. Seguridad
4.1. El Procesador adoptará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los Datos personales. Estas medidas han sido acordadas por las Partes en el Anexo 2. El Procesador podrá modificarlas de vez en cuando, siempre que dichas modificaciones no supongan un menor nivel de protección.
5. Información y Auditoría
5.1. A petición del Responsable del tratamiento, el Procesador facilitará la información estrictamente necesaria para que el Responsable del tratamiento cumpla sus obligaciones en virtud del RGPD.
5.2. El Responsable del tratamiento tiene derecho a realizar una auditoría del Procesador una vez cada doce meses para determinar en qué medida cumple las disposiciones del Acuerdo de tratamiento de datos. Dicha auditoría será realizada por un tercero independiente y tendrá lugar en el momento que definan ambas Partes conjuntamente. El Procesador facilitará al auditor, a petición de éste, el acceso a las instalaciones, el personal, las políticas y los documentos que sean razonablemente necesarios a efectos de la auditoría. El Responsable del tratamiento correrá con los gastos de dicha auditoría.
5.3. El Procesador informará inmediatamente al Responsable del tratamiento en caso de que una solicitud del (auditor del) Responsable del tratamiento infrinja la ley.
6. Transferencia internacional de datos
6.1 El Procesador solo transferirá Datos personales a un país situado fuera del espacio económico europeo si respeta el capítulo V del RGPD.
6.2 El Responsable del tratamiento acepta que cuando el Procesador contrate a un Subprocesador de conformidad con la cláusula 7 para llevar a cabo actividades de tratamiento específicas (en nombre del Responsable del tratamiento) y dichas actividades de tratamiento impliquen una transferencia de Datos personales en el sentido del capítulo V del RGPD, el Procesador y el Subprocesador pueden garantizar el cumplimiento de las mismas mediante el uso de cláusulas contractuales tipo adoptadas por la Comisión Europea de conformidad con el artículo 46, apartado 2, del RGPD.
7. Subprocesadores
7.1. El Responsable del tratamiento autoriza expresamente al Procesador a contratar a los Subprocesadores enumerados en el Anexo 1, parte B.
7.2. El Responsable del tratamiento autoriza de forma general al Procesador a contratar a otros Subprocesadores. El Procesador informará previamente al Responsable del tratamiento de la contratación de un Subprocesador, en cuyo caso el Responsable del tratamiento tendrá derecho a alegar su oposición a la contratación de dicho Subprocesador en el plazo de cuatro semanas. Si el Responsable del tratamiento no ha formulado objeción alguna en el plazo de esas cuatro semanas, se presumirá que ha dado su autorización expresa a la contratación de ese Subprocesador.
7.3. El Procesador seguirá siendo el encargado frente al Responsable del tratamiento del cumplimiento, o del incumplimiento, de las obligaciones establecidas en el presente Acuerdo de tratamiento de datos por parte de los Subprocesadores, de conformidad con el artículo 10.
7.4. El Procesador se asegurará de que el Subprocesador esté vinculado por escrito por obligaciones similares a las del Procesador en virtud del presente Acuerdo de tratamiento de datos.
8. Violación de datos y Cooperación con los derechos de los interesados
8.1. En caso de violación de los datos personales, el Procesador notificará al Responsable del tratamiento sin demora injustificada tras el descubrimiento.
8.2. En caso de que el Procesador reciba una queja o una solicitud de una persona física con respecto a los Datos personales, como se describe en el capítulo 3 del RGPD, el Procesador notificará al Responsable del tratamiento en el plazo de una semana después de recibir la queja o solicitud.
9. Devolución o Destrucción de Datos personales
9.1. A menos que la legislación aplicable exija la conservación de los datos, el Procesador eliminará los Datos personales de conformidad con el periodo de conservación especificado en el anexo A. Previa solicitud por escrito del Responsable del tratamiento, el Procesador devolverá los Datos personales al Responsable del tratamiento.
10. Responsabilidad e Indemnización
10.1. El Procesador es responsable únicamente con respecto y en la medida establecida en el Acuerdo. La responsabilidad del Procesador por los daños que se produzcan o estén relacionados con el procesamiento de Datos personales se limita además únicamente a los daños directos causados exclusivamente por el incumplimiento del Acuerdo de tratamiento de datos por parte del Procesador y excluye cualquier daño indirecto. Los daños indirectos incluyen en cualquier caso: pérdida de datos, reclamaciones de terceros, incluidos clientes, multas de las autoridades supervisoras y pérdida de facturación o beneficios.
10.2. El importe máximo por el que el Procesador puede ser considerado responsable por evento, donde una serie de eventos relacionados cuenta como un solo evento, es igual a las tarifas totales pagadas por el Responsable del tratamiento al Procesador en los doce meses anteriores a ese evento.
11. Duración y Cese
11.1. El presente Acuerdo de tratamiento de datos entrará en vigor y expirará simultáneamente con el Acuerdo.
11.2. La terminación o expiración del presente Acuerdo de tratamiento de datos no eximirá al Procesador de sus obligaciones destinadas a sobrevivir a la terminación o expiración del Acuerdo de tratamiento de datos, incluidas las obligaciones derivadas del artículo 3, 4, 8, 9 y 10 del presente Acuerdo de tratamiento de datos.
12. Miscelánea
12.1. En caso de incoherencia entre las disposiciones del presente Acuerdo de tratamiento de datos y las disposiciones del Acuerdo, prevalecerán las disposiciones del presente Acuerdo de tratamiento de datos.
12.2. Todas las notificaciones realizadas en virtud del presente Acuerdo de tratamiento de datos por el Procesador al Responsable del tratamiento, por ejemplo, las notificaciones en virtud de los artículos 7 y 8, se enviarán por correo electrónico a la información de contacto del Responsable del tratamiento disponible en XD Connects. Es responsabilidad del Responsable del tratamiento garantizar que los datos de contacto sean correctos y estén actualizados en todo momento.
12.3. El presente Acuerdo de tratamiento de datos se rige por la legislación de los Países Bajos. Cualquier litigio derivado o relacionado con el presente Acuerdo de tratamiento de datos se someterá exclusivamente al tribunal competente de La Haya.
Anexo 1:
A) Detalles del tratamiento de Datos personales
Categorías de interesados cuyos datos personales se tratan
• Destinatarios cuando esta empresa no tenga personalidad jurídica; y
• Destinatarios que reciben productos de envío directo.
Categorías de datos personales tratados
• Nombre (de la empresa)
• Dirección de correo electrónico (profesional)
• Número de teléfono (empresa)
• Dirección (profesional)
Datos sensibles tratados (si procede)
N/A
Naturaleza del tratamiento
El Procesador es un proveedor de artículos promocionales y regalos. El Responsable del tratamiento (cliente) puede realizar pedidos de estos artículos a través del portal digital del Procesador. Cuando se realiza un pedido, el tratamiento de los datos (personales) de los destinatarios es necesario para completar y enviar el pedido. Si el destinatario al que el Responsable del tratamiento envía un pedido es una empresa sin personalidad jurídica o una persona física como destinatario de servicios de envío directo, se procesan datos personales de los que el Procesador (XD Connects) es el responsable.
Finalidad o finalidades para las que se tratan los datos personales por cuenta del Responsable del tratamiento
• Para enviar pedidos a los destinatarios
Duración del tratamiento
El tratamiento dura desde el momento en que se realiza el pedido hasta el final del periodo de conservación. La conservación de los Datos personales es la siguiente:
• Información del destinatario en los detalles del pedido: 2 años
• Información del destinatario en el resumen de envíos directos: 2 años
B) Subprocesadores
Subprocesadores contratados por el Procesador:
• B2C Europa (Maersk) para la entrega de pedidos de envío directo
• Elanders Sverige AB para instalaciones de almacenamiento
• Early Bird Sverige para la entrega de pedidos
Anexo 2:
Medidas de seguridad
El Procesador adoptará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los Datos personales, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Las medidas de seguridad aplicadas por el Procesador incluyen:
• Seguridad de acceso
Por ejemplo: el acceso a los Datos personales solo se concede a las personas que necesitan conocerlos para desempeñar su función y los derechos de acceso se evalúan periódicamente, se exige una contraseña segura y el uso de una herramienta de contraseñas, se utiliza la AMF y se establecen requisitos para los puntos finales.
• Integridad de los datos
Por ejemplo: se realizan copias de seguridad de los datos con regularidad siguiendo el principio 1-2-3-, se valida la introducción de datos. Los Datos personales se destruyen al final del periodo de conservación.
• Seguridad de la organización
Por ejemplo: la clasificación de la información, la información al personal con acceso a los Datos personales y las consecuencias disciplinarias, la comprobación del uso de las políticas de red y la limpieza de las que no se utilicen.
• Seguridad física
Por ejemplo: acceso restringido al lugar de almacenamiento físico, vigilancia de las zonas donde se almacenan los Datos personales, prevención, detección y procedimiento operativo en caso de emergencias (como incendio, intrusión y agua) y sistemas innecesarios.
• Seguridad de la red y de los datos
Por ejemplo: amplia segmentación de la red basada en ZTN, uso de cortafuegos y EDR, empleo y actualización constante de software antivirus, uso de canales de comunicación seguros y empleo de un sistema de detección y prevención de intrusiones.
• Gestión de incidentes de seguridad
Por ejemplo: formación en respuesta a incidentes y elaboración de un plan de incidentes de seguridad y un plan de continuidad de la actividad.
• Procedimientos de prueba y evaluación
Por ejemplo: procedimientos para evaluar y mejorar periódicamente la eficacia de las medidas de seguridad, como un ciclo de auditoría externa independiente y la certificación de las normas de seguridad pertinentes.
• Eliminación de datos
Por ejemplo: los Datos personales se eliminan de forma irrecuperable cuando dejan de ser necesarios y el hardware de almacenamiento desechado se limpia de acuerdo con las prácticas del sector.
[última actualización: agosto 2024]